Já há uma correção mas muitos sites aparentemente ainda não a implementaram. Tenha muito cuidado, porque a cada dia há mais sites WordPress atacados.
Como começaram estes ataques
A história é simples. Os atacantes têm vindo a explorar uma falha de segurança que está presente num plug-in de conformidade com o RGPD para o WordPress e que permite controlar os sites vulneráveis. Esta informação foi avançada por um artigo no blog da Defiant, que cria o plugin de segurança Wordfence para a plataforma de publicação na web.
Já há uma atualização mas nem todos a estão a instalar e os casos continuam
É importante salientar que o programador responsável pelo plug-in, WP GDPR Compliance, emitiu um patch que corrige a falha crítica. Deste modo, os utilizadores estão fortemente aconselhados a atualizar para a versão 1.4.3, ou em alternativa desabilitar ou remover a ferramenta. A parte chata é que muitos utilizadores não estão a efetuar esta alteração.
Utilizada por mais de 100.000 sites que procuram conformidade com o Regulamento Geral de Proteção de Dados da União Europeia (RGPD).
O plugin foi retirado do repositório de plugins do WordPress após a descoberta desta falha. No entanto, foi reintegrado rapidamente com o lançamento desta nova versão .
Se o blogger não proceder a esta atualização, então está a abrir a porta para que os criminosos deitem as mãos aos sites afetados e os utilizem para uma série de outras ações maliciosas. Esta não é apenas uma ameaça hipotética, pois foi descoberto que os invasores já estão a atacar os sites vulneráveis há três semanas.
Há duas falhas distintas que afetam este plugin
De facto, o plugin é afetado por dois bugs distintos. No entanto, dadas as caraterísticas acabam por aproveitar a mesma vulnerabilidade. Ainda assim e sendo específicos os investigadores identificaram dois tipos de ataques que aproveitam a falha de segurança: uma mais simples e outra mais complexa.
O primeiro cenário mais comum
O primeiro cenário – e mais comum – envolve criminosos a tirarem partido do sistema de registo de utilizadores num site direcionado para criar novas contas de administrador, o que lhes dá carta branca em relação ao site.
Como parte da rotina mal-intencionada, os invasores “fecham as portas atrás de si”! Invertendo as alterações nas configurações que os permitem entrar e desativam o registo de utilizadores. Pretende-se, presumivelmente, evitar o aumento de alarmes e bloquear os concorrentes. Algumas horas depois, os criminosos voltam ao ataque – obtendo todos os privilégios e instalando backdoors.
Um segundo ataque
No segundo ataque – e talvez no mais discreto – os criminosos aproveitam o bug para tirarem partido do agendador de tarefas do WordPress chamado WP-Cron. Na prática injetam ações maliciosas neste agendador estabelecendo, finalmente, backdoors persistentes.
Ainda não se sabe, ao certo, como os criminosos se vão aproveitar dos sites atacados. De qualquer forma, as potenciais ações incluem a criação de pontos de distribuição de phishing e spam.
Receba as notícias Leak no seu e-mail. Carregue aqui para se registar. É grátis!